close

_01_2023.08.02_Google_指出_Android_各廠遲推更新,造成舊漏洞有如_0-day_一樣危險

Google 日前發表年度報告「The Ups and Downs of 0-days: A Year in Review of 0-days Exploited In-the-Wild in 2022」,在報告中除了列出在 2022 年被駭侵者積極用於攻擊的多個 0-day 漏洞之外,Google 更指出由於各 Android 設備製造廠在韌體更新推出時程的延遲,加上 Android 生態系的複雜度,由 Google 修補完成的 0-day 漏洞,駭侵者往往仍可在數月後用於攻擊。

Google 指出的這個問題,可說是 Android 系統上長年未解的老問題,主要肇因於 Google 生態系的複雜性。在該生態系,最上游的 Google 到最下游的手機製造廠,中間還有許多角色,例如品牌商(如三星、小米等)、電信業者等。這樣複雜的結構,造成即使 Google 在第一時間發表了 0-day 漏洞的修補方案,也要等品牌商或製造商針對各款手機推出韌體更新,使用者才能修補裝置上的 0-day 漏洞。

Google 說,從 Google 修補漏洞到使用者有更新版韌體可以安裝,中間往往會有好幾個月的時間間隔;而這麼長的時間差,就讓駭侵者有機可乘,可利用事實上早就可以修補的 0-day 漏洞,在很長一段時間內仍可用來發動攻擊。

舉例來說,CVE-2022-38181 是個發生在 ARM Mali CPU 的 0-day 漏洞,該漏洞於 2022 年 7 月時提報給 Android 開發團隊,並於 2022 年 10 月由 ARM 發表漏洞修補程式,但直到 2023 年 4 月時才納入 Android 2023 年 4 月的更新之中,時隔長達半年。而駭侵者早在 2022 年 11 月起,就開始利用該漏洞發動攻擊。

鑑於 Android 生態系的複雜度與較大的資安風險,Android 使用者應加強本身的資安防護措施,或考慮改用其他較安全的系統。

  • 參考連結

The Ups and Downs of 0-days: A Year in Review of 0-days Exploited In-the-Wild in 2022

https://security.googleblog.com/2023/07/the-ups-and-downs-of-0-days-year-in.html

Google: Android patch gap makes n-days as dangerous as zero-days

https://www.bleepingcomputer.com/news/security/google-android-patch-gap-makes-n-days-as-dangerous-as-zero-days/

arrow
arrow
    創作者介紹
    創作者 twcert 的頭像
    twcert

    台灣電腦網路危機處理暨協調中心-TWCERT/CC

    twcert 發表在 痞客邦 留言(0) 人氣()